隨著信息技術(shù)的迅猛發(fā)展和數(shù)字化轉(zhuǎn)型的深入推進(jìn)，網(wǎng)絡(luò)空間已經(jīng)成為人們生產(chǎn)、生活不可或缺的重要組成部分。與此同時，網(wǎng)絡(luò)安全威脅也呈現(xiàn)出前所未有的復(fù)雜性和嚴(yán)峻性。

TIPS：點(diǎn)擊文末“閱讀原文”即可獲取完整報告

安全漏洞，作為網(wǎng)絡(luò)安全領(lǐng)域的核心問題之一，在這一年中頻繁曝光，給全球各地的組織和個人帶來了巨大挑戰(zhàn)。2023年，網(wǎng)絡(luò)空間安全漏洞態(tài)勢呈現(xiàn)出總體數(shù)量降低，但影響范圍擴(kuò)大、利用難度降低的趨勢。從傳統(tǒng)的系統(tǒng)和應(yīng)用漏洞，到新興技術(shù)如云計算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等領(lǐng)域的安全隱患，各種類型的安全漏洞層出不窮。這些漏洞不僅威脅著網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行和數(shù)據(jù)安全，更可能對國家安全、社會穩(wěn)定和經(jīng)濟(jì)發(fā)展產(chǎn)生深遠(yuǎn)影響。

據(jù)CNVD公開數(shù)據(jù)顯示，2022年共披露漏洞23900枚，2023年共披露漏洞18635枚，同比降低22.03%。這表明，在過去一年里，安全運(yùn)維人員加強(qiáng)了對系統(tǒng)安全的管理，降低了漏洞數(shù)量。其中，低危漏洞占5.85%，中危漏洞占46.93%，高危漏洞占47.22%。相對于低危漏洞，中危和高危漏洞的數(shù)量更多，需要安全運(yùn)維人員提高警惕，加強(qiáng)對中高危漏洞的控制。

報告從「2023年度漏洞趨勢概況」「2023年度在野利用漏洞概況」「2023年度高危漏洞預(yù)警情況概述」「2023年度總結(jié)及2024展望」四大部分，探究漏洞威脅的現(xiàn)狀及發(fā)展趨勢，為廣大企事業(yè)客戶、安全運(yùn)維人員等應(yīng)對漏洞威脅提供指導(dǎo)。

2023年度漏洞趨勢概況

漏洞的統(tǒng)計與評判是評估網(wǎng)絡(luò)安全情況的一個重要指標(biāo)，天融信阿爾法實(shí)驗(yàn)室參考國家漏洞數(shù)據(jù)庫數(shù)據(jù)，從「漏洞數(shù)量趨勢」「漏洞增長趨勢」「漏洞威脅等級統(tǒng)計」「漏洞影響對象類型統(tǒng)計」「漏洞產(chǎn)生原因統(tǒng)計」「漏洞引發(fā)威脅統(tǒng)計」「行業(yè)漏洞收錄統(tǒng)計」「漏洞修復(fù)情況統(tǒng)計」對2023年披露的漏洞進(jìn)行了全方位的統(tǒng)計分析。

國家漏洞庫安全漏洞概況

（數(shù)據(jù)來自CNVD、CNNVD）

2023年度在野利用漏洞概況

通過對全網(wǎng)漏洞數(shù)據(jù)的分析，天融信篩選了2023年前100個在野利用漏洞進(jìn)行統(tǒng)計。此次統(tǒng)計分析主要從「漏洞影響的廠商」「漏洞影響的平臺」「漏洞類型」以及「EXP公開情況」4個方面展開，并選取整理了CWE TOP25排名。

在野利用漏洞概況

（數(shù)據(jù)來自cybersecurity-help）

根據(jù) MITRE今年通過對公開可用的國家漏洞數(shù)據(jù)庫中43996項(xiàng)數(shù)據(jù)，調(diào)研分析得出的CWE TOP25排名如下：

(數(shù)據(jù)來自MITRE)

2023年度高危漏洞預(yù)警情況概述

2023年，天融信阿爾法實(shí)驗(yàn)室通過漏洞監(jiān)測系統(tǒng)共監(jiān)測發(fā)現(xiàn)各類漏洞信息35762條，經(jīng)過漏洞監(jiān)測系統(tǒng)自動智能篩選后留存高危漏洞信息361條，經(jīng)過人工專家進(jìn)一步研判后，最終發(fā)布了45條高危漏洞風(fēng)險提示通告。涉及眾多廠商的軟件產(chǎn)品，由漏洞引發(fā)的安全威脅也多種多樣，統(tǒng)計結(jié)果顯示，主流操作系統(tǒng)是漏洞高發(fā)產(chǎn)品。2023年針對Microsoft廠商漏洞預(yù)警次數(shù)達(dá)14次，其中Windows系統(tǒng)的漏洞占大多數(shù)。

2023年預(yù)警的漏洞中，遠(yuǎn)程代碼執(zhí)行類漏洞占比最高，達(dá)到69%。這一類漏洞也是APT攻擊者的重要方向和攻擊武器，攻擊者利用這類漏洞可以遠(yuǎn)程執(zhí)行任意代碼或者指令，有些漏洞甚至無需用戶交互即可達(dá)到遠(yuǎn)程代碼執(zhí)行的效果，對目標(biāo)網(wǎng)絡(luò)和信息系統(tǒng)造成嚴(yán)重影響。此次統(tǒng)計分析主要從「漏洞預(yù)警廠商情況」「漏洞威脅情況」2個方面展開。

（數(shù)據(jù)來自天融信年度漏洞預(yù)警）

TOP10危害排名

2023年度總結(jié)及展望

2023年網(wǎng)絡(luò)空間安全漏洞分析研究報告顯示，漏洞總數(shù)呈現(xiàn)下降趨勢，但高危漏洞數(shù)量仍然為增長態(tài)勢。緩沖區(qū)溢出、輸入驗(yàn)證不當(dāng)和OS命令注入是當(dāng)前網(wǎng)絡(luò)安全形勢最為嚴(yán)峻的威脅，Windows系統(tǒng)漏洞和遠(yuǎn)程代碼執(zhí)行漏洞最多，Apache也占據(jù)了顯著比例，任何一類漏洞都有可能造成蠕蟲病毒傳播事件或者勒索事件的爆發(fā)，用戶應(yīng)加強(qiáng)安全防護(hù)。

2023年的網(wǎng)絡(luò)空間安全態(tài)勢需要企業(yè)和組織采取綜合性的防御措施。其中，重點(diǎn)包括實(shí)施供應(yīng)商審查機(jī)制以抵御供應(yīng)鏈攻擊，加強(qiáng)賬戶安全以應(yīng)對身份和憑證欺詐，建立漏洞管理體系以有效防范安全漏洞威脅，以及強(qiáng)化分段網(wǎng)絡(luò)管理來提高數(shù)據(jù)安全應(yīng)對能力。這些措施旨在面對日益復(fù)雜的網(wǎng)絡(luò)威脅，確保網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)得到充分的保護(hù)，維護(hù)業(yè)務(wù)的正常運(yùn)行和客戶安全。

隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全漏洞的趨勢也在不斷變化。預(yù)計到2024年，零日漏洞的利用將增加，云計算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新興技術(shù)領(lǐng)域成為重點(diǎn)攻擊對象。勒索軟件攻擊將更加有針對性，生成式人工智能技術(shù)可能被用于更復(fù)雜的網(wǎng)絡(luò)攻擊并降低攻擊門檻。開源軟件的安全性將成為重點(diǎn)，越來越多的組織將開始采用零信任架構(gòu)。人工智能將在漏洞預(yù)警和防御中發(fā)揮重要作用，IAST將逐漸整合到全鏈路接口安全防御體系。

作為上市公司中成立最早的網(wǎng)絡(luò)安全企業(yè)，天融信始終以捍衛(wèi)國家網(wǎng)絡(luò)空間安全為己任，積極發(fā)揮自身在監(jiān)測預(yù)警與應(yīng)急服務(wù)優(yōu)勢，全面掌握漏洞動態(tài)，持續(xù)為客戶構(gòu)建更加完善的網(wǎng)絡(luò)安全防御能力，通過多維度數(shù)據(jù)采集分析、敏感信息及時預(yù)警，持續(xù)深入信息安全領(lǐng)域的監(jiān)測與應(yīng)急工作，及時監(jiān)測網(wǎng)絡(luò)空間的漏洞動態(tài)，提供快速的監(jiān)測與預(yù)警服務(wù)。

天融信專注于強(qiáng)化云端情報融合、安全防護(hù)設(shè)備聯(lián)動、云環(huán)境下的IT資產(chǎn)安全管理等能力，將云上能力賦能本地，結(jié)合云端7×24小時在線研判，幫助各類客戶構(gòu)建涵蓋檢測發(fā)現(xiàn)、分析研判、情報預(yù)警、響應(yīng)處置、持續(xù)監(jiān)控的完整資產(chǎn)安全管理體系，有效助力客戶數(shù)字化轉(zhuǎn)型發(fā)展。

「點(diǎn)擊閱讀原文」獲取詳細(xì)報告

如有錯漏之處，敬請指正！